Ein bisher noch nicht angegangenes Problem bei der forensischen Ermittlung von Windows-Systemen scheint nun der Lösung nahe. Andreas Schuster berichtet, dass Matthieu Suiche auf der Japan PACSEC 2007 Inhalt und Struktur der Datei hiberfil.sys und ein entsprechendes Analysetool präsentierte. Die Datei hiberfil.sys wird im Wurzelverzeichnis des Systemlaufwerkwerks erstellt, wenn der Ruhezustand (Suspend to Disk) eines Windows-Systems aktiviert wird. Warum ist diese Datei für computer-forensische Untersuchungen von Interesse? Wird ein Windows-System in den Ruhezustand gebracht, wird fast der komplette Hauptspeicherinhalt des laufenden Systems in die Datei hiberfil.sys geschrieben. Diese Datei kann dann für die RAM-Analyse herangezogen werden, wenn man auf einem Datenträgerimage diese Datei antrifft. Es handelt sich hierbei um einen Snapshot des laufenden Systems, der solange auf der Festplatte gespeichert ist, bist der nächste Ruhezustand eingeleitet wird. Unter Umständen sind hier Aussagen auch über lange Zeit zurück liegende Vorgänge möglich.
Die Folien des Vortrags „Enter Sandman“ der Japan PACSEC 2007 von Matthieu Suiche können hier heruntergeladen werden.
1 thought on “Suspend-to-Disk Forensics”